Las agencias de inteligencia y ciberseguridad de EE. UU. han advertido sobre Fobos ransomware ataques dirigidos a entidades gubernamentales y de infraestructura crítica, que describen las diversas tácticas y técnicas que los actores de amenazas han adoptado para implementar el malware de cifrado de archivos.
«Estructurado como un modelo de ransomware como servicio (RaaS), los actores del ransomware Phobos se han dirigido a entidades que incluyen gobiernos municipales y de condado, servicios de emergencia, educación, atención médica pública e infraestructura crítica para rescatar con éxito varios millones de dólares estadounidenses», dijo el gobierno. dicho.
El aviso proviene de la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA), la Oficina Federal de Investigaciones (FBI) y el Centro de Análisis e Intercambio de Información Multiestatal (MS-ISAC).
Activo desde mayo de 2019, hasta la fecha se han identificado múltiples variantes del ransomware Phobos, a saber, Eking, Eight, Elbie, Devos, Faust y Backmydata. A fines del año pasado, Cisco Talos reveló que los actores de amenazas detrás del ransomware 8Base están aprovechando una variante del ransomware Phobos para llevar a cabo sus ataques con motivación financiera.
Hay evidencia que sugiere que Phobos probablemente esté estrechamente administrado por una autoridad central, que controla la clave privada de descifrado del ransomware.
Las cadenas de ataques que involucran la cepa de ransomware generalmente han aprovechado el phishing como vector de acceso inicial para lanzar cargas útiles sigilosas como SmokeLoader. Alternativamente, las redes vulnerables se violan buscando servicios RDP expuestos y explotándolos mediante un ataque de fuerza bruta.
A una irrupción digital exitosa le sigue que los actores de amenazas dejen caer herramientas adicionales de acceso remoto, aprovechando técnicas de inyección de procesos para ejecutar código malicioso y evadir la detección, y realizar modificaciones en el Registro de Windows para mantener la persistencia dentro de entornos comprometidos.
«Además, se ha observado que los actores de Phobos utilizan funciones API integradas de Windows para robar tokens, eludir los controles de acceso y crear nuevos procesos para escalar privilegios aprovechando el proceso SeDebugPrivilege», dijeron las agencias. «Los actores de Phobos intentan autenticarse utilizando hashes de contraseñas almacenados en caché en las máquinas víctimas hasta que alcanzan el acceso de administrador del dominio».
También se sabe que el grupo de delitos electrónicos utiliza herramientas de código abierto como Sabueso y Sharphound para enumerar el directorio activo. La exfiltración de archivos es logrado a través de WinSCP y Mega.io, después de lo cual las instantáneas de volumen se eliminan en un intento de dificultar la recuperación.
La divulgación se produce cuando Bitdefender detalla un ataque de ransomware meticulosamente coordinado que afecta a dos empresas distintas al mismo tiempo. El ataque, descrito como sincronizado y multifacético, se ha atribuido a un actor de ransomware llamado CACTUS.
«CACTUS continuó infiltrándose en la red de una organización, implantando varios tipos de herramientas de acceso remoto y túneles en diferentes servidores», Martin Zugec, director de soluciones técnicas de Bitdefender, dicho en un informe publicado la semana pasada.
«Cuando identificaron una oportunidad de mudarse a otra empresa, pausaron momentáneamente su operación para infiltrarse en la otra red. Ambas empresas son parte del mismo grupo, pero operan de forma independiente, manteniendo redes y dominios separados sin ninguna relación de confianza establecida».
El ataque también se destaca por apuntar a la infraestructura de virtualización de la compañía anónima, lo que indica que los actores de CACTUS han ampliado su enfoque más allá de los hosts de Windows para atacar los hosts Hyper-V y VMware ESXi.
También aprovechó una falla de seguridad crítica (CVE-2023-38035, puntuación CVSS: 9,8) en un servidor Ivanti Sentry expuesto a Internet menos de 24 horas después de su divulgación inicial en agosto de 2023, lo que una vez más destaca el uso rápido y oportunista de vulnerabilidades recientemente publicadas como arma. .
El ransomware sigue siendo una importante fuente de ingresos para los actores de amenazas con motivación financiera, y las demandas iniciales de ransomware alcanzan un mediana de $600,000 en 2023, un aumento del 20% respecto al año anterior, según Arctic Wolf. A partir del cuarto trimestre de 2023, el pago de rescate promedio es de 568.705 dólares por víctima.
Es más, pagar una demanda de rescate no equivale a protección futura. No hay garantía de que los datos y sistemas de la víctima se recuperen de forma segura y que los atacantes no vendan los datos robados en foros clandestinos ni los ataquen nuevamente.
Datos compartido por la empresa de ciberseguridad Cybereason muestra que «un asombroso 78% [of organizations] fueron atacados nuevamente después de pagar el rescate, el 82% de ellos dentro de un año», en algunos casos por el mismo actor de amenazas. De estas víctimas, al 63% «se les pidió que pagaran más la segunda vez».